[B! XSS][ie] efclのブックマーク

Browser's XSS Filter Bypass Cheat Sheet

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

efcl 2017/05/22

XSSフィルターのバイパスチートシート

リンク

Masato Kinugawa Security Blog: ブラウザのXSS保護機能をバイパスする(14)

前回、XSSAuditorのバイパスのチートシートを作ったという記事を書きましたが、さきほど、IE/EdgeのXSSフィルターのバイパスも公開しました。 https://github.com/masatokinugawa/filterbypass/wiki/Browser's-XSS-Filter-Bypass-Cheat-Sheet#ieedge%E3%81%AExss%E3%83%95%E3%82%A3%E3%83%AB%E3%82%BF%E3%83%BC この公開に合わせて、今日は強力なIE/EdgeのXSSフィルターのバイパスを1つ紹介しようと思います。このバイパスはPOST経由以外の全てのReflected XSSで使えます。1年以上前に以下のようなツイートをしましたが、今から紹介するのがこのとき発見したベクターです。 I found pretty useful IE XSS

efcl 2017/05/22

IE/MSEdgeのXSSフィルターが、ナビゲーションの遷移前に検証を行うため(実際にエンコード後の情報でフィルターしてない)、ナビゲーションする際の文字コードエンコードによってタグが生成されるケースをスルーしてしまう

リンク

Masato Kinugawa Security Blog: TinyMCE 4.3.9で修正されたXSS

2月頃、リッチテキストエディタの TinyMCE のXSS脆弱性を報告しました。特にセキュリティの修正をしたといったアナウンスはありませんが、数日前に公開された4.3.9でこの問題が修正されています。Twitterのプロフィールにも、「World's #1 most popular open source #WYSIWYG editor」とあるくらい、世界的にも非常によく使われているリッチテキストエディタのようですので、更新を促すためにこの記事を書きます。 XSS脆弱性は 4.3.8 以下のバージョンにあります。僕の知る限りでは、TinyMCEのPreview Plugin機能を使っていなければ影響を受けません。この機能を呼び出さないようにするか、4.3.9以上に更新してください。これ以下は、技術的な説明になります。この脆弱性の発生原因は、技術的にも少し面白いです。発火する場所

efcl 2016/04/17

URL経由の正規表現に`.`にU+2028/2029がマッチしない問題のXSS IE/EdgeはURL経由でも入る

リンク

Masato Kinugawa Security Blog: EasyXDM 2.4.20で修正されたXSS

Update: English version is here: http://mksben.l0.cm/2016/04/easyxdm-xss-docmode-inheritance.html ------------------ EasyXDM というクロスドメインでのあれこれを便利にしてくれるライブラリの 2.4.20 で、自分の報告したXSS脆弱性が修正されています。使っている人はアップデートしましょう。 Release Security update - 2.4.20 · oyvindkinsey/easyXDM · GitHub https://github.com/oyvindkinsey/easyXDM/releases/tag/2.4.20 以前にも脆弱性が指摘されていますが、それとは別の問題です。 http://blog.kotowicz.net/2013/09/exp

efcl 2016/04/09

Content-Type: message/rfc822 mhtml+iframeで開かせるとIE7互換モードまで低下する

IE
XSS

リンク

Masato Kinugawa Security Blog: IE/EdgeのXSSフィルターを利用したXSS

English version: http://mksben.l0.cm/2015/12/xxn.html ------------------------------------------------ 2015年12月のMicrosoftの月例アップデートで修正された、Internet ExplorerとEdgeのXSSフィルターに存在した問題(CVE-2015-6144 および CVE-2015-6176)について書きます。 2015 年 12 月のマイクロソフトセキュリティ情報の概要 https://tech net.microsoft.com/ja-jp/library/security/ms15-dec.aspx 修正された問題は、2015年10月に行われたセキュリティカンファレンスのCODE BLUEで詳細を伏せて発表した、IE/EdgeのXSSフィルターの動作を利用してXS

efcl 2015/12/18

XSSフィルターを使ったXSS

IE
XSS

リンク

CVE-2015-1729(fixed by MS15-065) - masa141421356’s blog

そろそろ2015年7月のWindows定例アップデートで修正された CVE-2015-1729(MS15-065)の内容の解説と対策を書こうと思います。 PoC 以下のような CSV (http://example.jp/target.csv)があったとします。 a,b c,dこれはIE9以降に以下のような攻撃コードを与えることで内容を読み取ることが可能でした。 <script> window.onerror=function(){alert(arguments.callee.caller);}; </script> <script src="http://example.jp/target.csv"></script> このバグは、JavaScript として読み込ませると実行時エラーになるようなデータがある場合に、クロスオリジンの制約が働かずに、arguments.callee.cal

efcl 2015/09/14

JSONハイジャック系。 nosniffがついてないものを読み込んでエラーが起こせれば、`arguments.callee.caller`で中身が取れるという話

リンク

New IE mutation vector

New IE mutation vector Wednesday, 17 June 2015 I was messing around with a filter that didn’t correctly filter attribute names and allowed a blank one which enabled me to bypass it. I thought maybe IE had similar issues when rewriting innerHTML. Yes it does of course 🙂 The filter bypass worked like this: <img ="><script>alert(1)</script>"> The filter incorrectly assumed it was still inside an att

efcl 2015/07/08

mXSS

IE
XSS

リンク

Analysis on Internet Explorer's UXSS

Status: Fixed (as of Jan 13, 2016) Recently a Universal Cross-Site Scripting(UXSS) vulnerability (CVE-2015-0072) was disclosed on the Full Disclosure mailing list. This unpatched 0day vulnerability discovered by David Leo results in a full bypass of the Same-Origin Policy(SOP) on the latest version of Internet Explorer. This article will briefly explain the technical details behind the vulnerabili

efcl 2015/02/05

IEのUXSS

IE
XSS

リンク

Masato Kinugawa Security Blog: CVE-2013-3908: IEの印刷プレビュー時に発生する情報漏えい

Internet Explorerで細工したページに対し印刷プレビューを実行すると、ページ内の情報が外部に漏えいする場合があった脆弱性について書きます。本問題は、Microsoft提供の更新プログラムにより現在は修正されています。この問題は、Microsoftが2013年の6-7月に30日間限定で実施したIE11 Previewの脆弱性報酬制度を通じて報告したものです。その後、報酬対象として受理され、$1,100を頂きました。報酬は次のようなデビットカードで支払われました。 IE11のBounty Program( http://t.co/Xx2WUOut43 )のデビットカードが届いた！ありがとうMicrosoft！ pic.twitter.com/It1LzVAAyC — Masato Kinugawa (@kinugawamasato) 2013, 9月 27 カード右上の金額が

efcl 2014/11/05

印刷プレビューとmXSSによる破壊

IE
XSS

リンク

升级中

efcl 2012/10/26

, set/attributename=innerHTML

IE
XSS

リンク

HTML5 Security Cheatsheet

HTML5 Security CheatsheetWhat your browser does when you look away...

efcl 2012/05/26

IEでコメント内にタグ書いても発動できる…

リンク

JSONのエスケープをどこまでやるか問題 - 葉っぱ日記

Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。発生するかもしれない脆弱性 JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSS それぞれの詳細については後述します。開発側でやるべきこと文字列中のUnicode文字は "\uXXXX" な形式にエスケープするとともに、ASCIIな範囲であっても「/」「<」「>」「+」も同様にエスケープすることにより、前述の脆弱性を防ぐことができます。 Perlであれば、以下のような感じになります。JSON->ascii(1) に続けて、JSON文字列を正規表現で置換しているあたりがキモになります。 use utf8; u

efcl 2011/07/07

JSONとIEとXSS ユニコード文字は "\uXXXX" な形式にエスケープ、ASCIIな範囲であっても「/」「」.「+」も同様にエスケープ

リンク

/blog/2008/08/ie-8-xss-filter-architecture-implementation/

efcl 2011/05/11

IE8のXSSフィルタ

リンク

はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

はてなグループの終了日を2020年1月31日(金)に決定しました以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記はてなグループ日記のエクスポートデータは2020年2月28

efcl 2011/04/24

セキュリティフィルタ、XSS X-XSS-Protectionヘッダ

リンク

[openmya:035806] IE における "expression" の過剰検出による XSS の誘因

efcl 2011/02/13

expression(式)を使ったXSSについて。mya/mya

リンク

Atom や RDF を利用したXSS - 葉っぱ日記

Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap

efcl 2011/01/06

IEが認識できないJSONP や Atom/RSS/RDFなどのContent-Typeを吐いてる場合に、HTMLとして扱わせてXSSが起きる

リンク

matsutakegohan1's blog

岩崎 ( 伊勢丹のオーダーシャツをセールで買った話へのコメント) Saqib Ali ( idcon #10 へのコメント) Ukyoo! ( 栃木散歩へのコメント) Ya-ko ( iphone へのコメント) q-zou ( 第10回オープンソーステクノロジー勉強会へのコメント) kovaio ( 第10回オープンソーステクノロジー勉強会へのコメント) kovaio ( 第10回オープンソーステクノロジー勉強会へのコメント) q-zou ( EZ GREE へのコメント) ogi ( EZ GREE へのコメント) q-zou ( われわれは一人の英雄を失った、何故か！？へのコメント)

efcl 2010/11/09

IEのXSSいろいろ

XSS
IE

リンク

第2回　UTF-7によるクロスサイトスクリプティング攻撃［後編］ | gihyo.jp

前回に引き続き、UTF-7によるクロスサイトスクリプティング（XSS）について説明していきます。 UTF-7によるXSSは、攻撃対象のコンテンツの文字エンコーディングが不明瞭な場合に、そのコンテンツを被害者のブラウザ（Internet Explorer）で開いたときに、そのコンテンツの文字エンコーディングがUTF-7であるとIEに誤認させ、「⁠+ADw-script+AD4-」のようなUTF-7の文字列が有効なHTML要素として認識されるために発生します。そして、「⁠文字エンコーディングが不明瞭」な具体的な状況として、以下のような条件のいずれかに該当するということを前回説明しました。レスポンスヘッダ、meta要素のどちらでもcharsetが指定されていない charsetにIEが解釈できないエンコーディング名が指定されている meta要素でcharsetを指定しているときに、meta要

efcl 2010/09/25

IEは文字エンコーディングが少しでもおかしいとコンテンツで文字コーディングを決める。 METAより前に文字コードを決定できる要素があればそれにそって決定してしまう。

IE

リンク

twitterセキュリティネタまとめ　7月12日のtwitterセキュリティクラスタ

週末にあったsmpCTFのまとめ記事です。そこからexploitmeを作る話が盛り上がっていきます。盛り上がったので長いです。海外だといろいろなジャンルのやられアプリケーションやサーバーが出ていますが、日本語の解説がないのでいろいろ大変なので、本当にできたらいいなあ。 doiphin: smpCTFのまとめ記事書いた。時間かけすぎた。 http://d.hatena.ne.jp/Dltn/20100712/1278911653 ucq: おい、chg1解けなかったのはバグのせいだったのかよｗ問題の取得まで自動化したのに・・・ ucq: Exploitの解説って需要あるのか。 doiphin: @ucq exploitme みたいなものがあると面白そう。 @eagle0wl さんのcrackmeのように。 eagle0wl: @doiphin 実は企画中です。何年も前からｗ　RT @ucq

efcl 2010/07/13

IE8のXSS

XSS
IE

リンク

はてなブックマーク

タグ

関連タグで絞り込む (14)

XSSとieに関するefclのブックマーク (19)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス